(Digitale) veiligheid voorop
Een feit: we zijn digitaal kwetsbaar. Met nieuwe digitale technologieën en groeiende mogelijkheden om grote hoeveelheden data te verwerken, rijst ook de aanwezigheid van privacy- en securityproblemen. Hoe staat het met de digitale veiligheid op het moment?
Prof. dr. Yuri Bobbert
Chief Information Security Officer (CISO) bij Nationale Nederlanden Group (NN) en adjunct professor bij Antwerp Management School
Waarom is security nu een topprioriteit?
“Dit is een superinteressante vraag, want het vakgebied bestaat al langer. In de jaren 60 en 70 waren er al allerlei bedreigingen van buitenaf; mensen probeerden in informatienetwerken in te breken. Door de explosie van internet geconnecteerde toestellen, het zogenaamde Internet Of Things, neemt de digitale voetafdruk drastisch toe. Dit maakt het ook lucratiever voor kwaadwillenden om disruptie te veroorzaken en systemen plat te leggen – of wel voor financieel gewin of als vorm van cybercriminaliteit. De nood aan digitale veiligheid gaat dus gelijk op met de explosieve groei van internet en data-gebruik.”
Hoe is het geëvolueerd ten opzichte van vorig jaar?
“Er zijn twee belangrijke wetgevingen bijgekomen. De eerste is de GDPR-wet (General Data Protection Regulation, red.), die opkomt voor het recht van de burger op internet privacy op het internet. Parallel hieraan is er de cybersecuritywet, waarbij bedrijven uit de vitale sector, zoals een hosting provider, bank, waterschap of energieleverancier, verplicht zijn om data-incidenten te melden. Als er wat gebeurt, moeten ze in staat zijn om vlot te reageren en het probleem te identificeren: wat is er gestolen of gelekt? Een andere trend is dat kwaadwillenden mikken op IoT-apparatuur, zoals camera’s. Door toename van apparaten met simpele software, zie je dat cybercriminelen zich daarop richten als een soort van distributienetwerk voor aanvallen.”
Wat zie je in de toekomst in jouw sector nog veranderen?
“De generatie van nu groeit op met digitalisering en data. Het maakt dusdanig onderdeel uit van hun leven, dat de meeste van hun transacties zich afspelen of zullen afspelen op het digitale veld. We moeten meer doen op de as van bewustzijn. Alles wat je op het internet zet of deelt, kan men het tegen je gebruiken als het in de verkeerde handen valt. Afgelopen week was het Online Alert Week in Nederland, waarbij men extra aandacht aan digitalisering besteed op scholen. Dat is een goede impuls, maar eigenlijk moet dergelijke aandacht er altijd zijn. Programmeren wordt steeds meer een tweede taal voor kinderen; maar hoe doe je dat op een zo veilig mogelijke en goede manier? Hier ligt een taak voor de overheden.”
Olivier Sustronck
Advocaat gespecialiseerd in privacy en IT-recht en Data Protection Officer
Waarom is security nu een topprioriteit?
“Het is vooral in de aandacht gekomen door de nieuwe Europese wetgeving. Op 27 mei 2018 is namelijk de GDPR in werking getreden. Deze wet vraagt ondernemingen om voorzieningen te treffen met het oog op data-beveiliging: ze moeten voorzichtig omgaan met persoonsgegevens. Natuurlijk gaat het één en ander vooraf aan een dergelijke wet. Door de digitalisering van onze maatschappij worden steeds meer persoonsgegevens verwerkt door overheden en ondernemingen.”
“De wetgevingen die hieraan vooraf waren gegaan, waren niet meer adequaat genoeg om maatregelen te nemen tegen mensen die hierin te ver gingen. De manier waarop de GDPR in werking is getreden liet wat mij betreft wel wat te wensen over. Iedereen werd overspoeld door onnodige e-mails, wat de wet met negatieve gevoelens omringde. Het belang van privacy werd niet duidelijk gemaakt naar het bredere publiek toe.”
Hoe is het geëvolueerd ten opzichte van vorig jaar?
“De GDPR is de grootste verandering op vlak van wetgeving. In de tussentijd zijn er ook nieuwe wetten bijgekomen. De Belgische implementatiewet van de GDPR is ingevoerd; voor overheden en verwerkers van gevoelige persoonsgegevens is er een extra wetgeving bijgekomen. Er is een nieuwe camerawet en binnenkort komt er een e-privacy verordening, deze behandelt de cookies. Daarnaast zullen Belgen vanaf 2019 bij aanvraag van hun identiteitskaart, hun vingerafdruk moeten afgeven. Het is een moeilijk evenwicht tussen veiligheid en privacy: zijn de maatregelen proportioneel? Neem nu de camerawet: auto’s scant men op de openbare weg in en gedurende twee jaar in een register bijgehouden. Is dat nodig? Wat mij betreft rolt de bal nu naar de verkeerde zijde.”
Wat zie je in de toekomst in jouw sector nog veranderen?
“De hackings zullen alleen maar omhooggaan: landen als Rusland en Noord-Korea zullen veel meer hackings uitvoeren in de toekomst. Mensen zijn zich niet goed bewust van wat privacy inhoudt en de gevaren ervan. Het klassieke antwoord is vaak: het is maar goed dat men mijn vingerafdruk registreert, want ik heb toch niks te verbergen. Maar wat als die data in de verkeerde handen komen?”
“Daarnaast: privacy staat voor de identiteit die iemand heeft, het doen en laten. In een land als China werken ze met een puntensysteem, waarbij een score wordt gegeven aan iemands gedrag op het internet. Dit pakt men er dan bij als iemand een hypotheek wil aanvragen. Daar schuilt het gevaar: dat men een norm van bovenaf op die data legt. Wie bepaalt die norm? Wat is normaal? We moeten ons veel bewuster zijn van de bedreiging die schuilt in het afgeven van onze data.”
Dr. Ir. Bart Preneel
Onderzoeksgroep Computer Security and Industrial Cryptography aan de KULeuven
Waarom is security nu een topprioriteit?
“Onze maatschappij wordt steeds meer digitaal. Binnen twee jaar zal een kwart van onze economie digitaal zijn. Ons sociaal leven speelt zich digitaal af. De digitale wereld wordt steeds meer onze wereld: slimme huizen, slimme gebouwen, chips die geïmplanteerd worden in onze lichamen – je kunt er niet meer omheen. Cyber wars zijn een feit; een aantal grote landen hebben een bijkomende dimensie toegevoegd aan hun leger: een cyberforce. In die cyberspace wordt volop gehackt, aangevallen en verdedigd. Het belang ervan wordt groter, het gaat gepaard met grotere investeringen. En door de GDPR worden nu hogere boetes opgelegd aan onjuist gebruik van data: 4 procent van de globale omzet.”
Hoe is het geëvolueerd ten opzichte van vorig jaar?
“Steeds meer bedrijven verdienen, in navolging van Google en Facebook, geld via advertenties. Ze verzamelen zoveel mogelijk informatie, bieden gratis diensten aan, maar mensen betalen met hun persoonsgegevens. Hoe meer gegevens men heeft over iemand, hoe waardevoller diegene is voor adverteerders. Een groot deel van de economie steunt op digitaal. De data-honger neemt met het jaar toe. Het verwerken en opslaan van data wordt tegelijk ook steeds goedkoper: er zijn betere technieken om uit die data meer info te halen, wat interessant is voor bijvoorbeeld verzekeringsbedrijven. De GDPR is een respons daarop. Hiermee wil de EU beperkingen aan het verzamelen en verwerken van data opleggen door verplichte toestemming, recht op inzage, recht op verwijderen van informatie. De wetgever probeert zo de ‘datahonger’ in toom te houden.”
Wat zie je in de toekomst in jouw sector nog veranderen?
“Er zal nog meer data verzameld worden, maar ook data gelekt worden – denk aan Snowden. Hier komen grotere boetes op: je moet als bedrijf aantonen dat je de data voldoende had beveiligd en toestemming had om deze te verwerken. Ik hoop daarnaast op meer bewustwording: onze smartphones sturen op basis van onze toestemming gegevens naar de cloud, net als Facebook en Google dat doen. Maar is toestemming alleen voldoende? De gebruiker begrijpt vaak niet waar hij toestemming voor geeft. Daarnaast is er ook geen keuzemogelijkheid: er is geen sociaal netwerk waarbij niet alle data centraal worden verzameld en geanalyseerd. Het publiek moet bedrijven onder druk zetten om te komen met alternatieven.”